SlideShare una empresa de Scribd logo

Sécurité des données

Christophe Catarina
Christophe Catarina
Tecnología
1 de 28
Descargar para leer sin conexión
Samedis du Libre Sécurité et Informatique à MERIGNAC Médiathèque Municipale Mérignac le 16-11-2013 avec l'ABUL
Sécurité et Informatique ● L'insécurité : une réalité aux multiples facettes ● ● Définitions et rappels sur les risques Quelles protections, pour quels risques ? ● ● ● Mesures adaptées aux risques supports Mesures adaptées aux risques essentiels Ces données qui nous échappent ● La multiplication des objets numériques ● Le bon sens, entre prudence et paranoïa ● Florilège d'outils en lien avec la protection ● Questions / Réponses
L'insécurité Informatique La sécurité absolue n'existe dans aucun domaine de la vie réelle. Pourquoi l'informatique ferait-elle exception ? Quel que soit le domaine, on ne parle que de : Gestion (ou réduction) des risques Mesures de protections Principe de précaution en gardant à l'esprit que la perfection n'existe pas, et qu'il faut toujours envisager les conséquences d'un événement redouté avant qu'il ne survienne.
Rappels sur les risques Les données numériques sont immatérielles, pour les manipuler, on les met sur un support. ● Il existe donc deux types de risques très différents : ● ● Les risques essentiels : Ce sont les risques que courent les données quel que soit le support sur lequel elles se trouvent. Les risques supports : Ce sont les risques que la nature même du support fait courir aux données qu'il contient.
Rappels sur les risques ● Les risques essentiels : ● ● La divulgation : Une information peut être portée à la connaissance d'un public qui n'avait pas à la connaître. Confidentialité L'altération (ou la dégradation) : Lorsqu'on la récupère, une partie de l'information n'est plus la même qu'au moment de son stockage. Intégrité
Rappels sur les risques ● Les risques essentiels (suite) : ● ● La disparition : La donnée ne peut pas être récupérée au moment et à l'endroit où vous souhaitez le faire. Disponibilité La suspicion (force de preuve) : Il n'existe pas de moyen pour démontrer qu'une information est bien celle qu'elle prétend être. Auditabilité
Rappels sur les risques ● Les risques supports : puisqu'il parait qu'une image vaut mille mots ...
Rappels sur les risques ● Face à un risque donné, chaque support sera plus ou moins sensible ... Risque Support
Quelles protections, pour quels risques ● Évaluation des risques : approche par les Menaces Exemples de menaces : ● ● ● ● ● Une erreur, action non réfléchie d'un utilisateur insouciant ou peu attentif. La malveillance humaine, une personne agit à votre insu pour vous causer volontairement du tort. Un programme malveillant (malware), logiciel conçu spécialement à des fins illicites. Une panne, les matériels électroniques ont une durée de vie limitée. Un sinistre, vol, incendie, dégât des eaux, panne irrémédiable, etc.
Quelles protections, pour quels risques ● Évaluation des risques : approche par les Menaces Il faut imaginer les événements redoutés en terme de scénarios de menaces, et pour chacune, évaluer : ● ● sa probabilité (Potentialité) qui influe sur la fréquence des mesures de protection, son impact (Gravité) qui influe sur l'importance accordée aux mesures de protection
Quelles protections, pour quels risques On obtient au final un tableau qui indique : ● ● quoi faire pour se protéger des menaces dont on veux se protéger, quand le faire pour que ce soit suffisamment efficace sans être trop coûteux. L'étape suivante consiste à déterminer les moyens à mettre en œuvre pour obtenir un niveau de protection choisi avec pragmatisme.
Mesures adaptées aux risques supports Les risques supports les plus courants : ● Panne matérielle entraînant la perte des informations ● Destruction irrémédiable d'un support (sinistre) ● Disparition du support d'informations (perte ou vol) mais aussi ... ● ● Destruction logicielle des informations (effacement par erreur ou malveillance, etc.) Perte d'accès aux informations (mot de passe perdu, ransomware, etc.)
Mesures adaptées aux risques supports Toutes les mesures de protection sont basées sur : ● ● ● la multiplicité des exemplaires de l'information (On ne peut pas tous les perdre en même temps ...) la localisation différente des divers exemplaires (... surtout s'ils sont géographiquement dispersés ...) la nature variée des supports utilisés pour chacun (... et ne sont pas sensible aux mêmes risques.) Dit autrement : "Ne pas mettre tous ses œufs dans le même panier"
Mesures adaptées aux risques supports Choix suivant le type d'informations : ● Informations pouvant être régénérées Système d'exploitation, applications, informations publiques, informations dupliquées Minimiser le temps de régénération ● ● Disposer d'archives et de copies à jour Informations ne pouvant pas être régénérées "Mémoire numérique" (photos, vidéos, etc.), archives documentaires (courriels), travail en cours Protéger à la hauteur de la valeur de la perte ● Multiplier les copies et varier les supports
Mesures adaptées aux risques essentiels Les risques essentiels les plus courants : ● ● ● Divulgation d'un information personnelle ou secrète mot de passe, clé d'accès, numéro de CB, etc. Altération ou perte d'une information importante clé de licence, composant du système, etc. Installation d'un composant malintentionné virus, trojan, keylogger, autres malware Et pour se protéger, seulement deux armes : ● La prudence, jusqu'à la méfiance s'il le faut ● Le bon sens ... et quelques bons conseils
Les données qui nous échappent ● ● ● ● Sans données en ligne (le Cloud), les risques sont majoritairement des risques supports. Le Cloud est une nouvelle solution pour palier à ces risques anciens Mais le Cloud est porteur de façon intrinsèque de risques nouveaux Les nouveaux risques sont principalement des risques essentiels
Les données qui nous échappent Constat de ce qui se passe dans le Grand Public : ● ● ● Le glissement vers des usages Cloud est massif Pressés de toutes part, les utilisateurs confient de plus en plus de choses aux nouveaux services si pratiques. Le changement de risque n’est pas bien perçu Les risques nouveaux ne sont pas évoqués dans le discours marketing des fournisseurs de services Cloud. Les habitudes de protection ne changent pas Les utilisateurs conservent des habitudes qui sont maintenant inadaptées aux nouveaux risques.
Les données qui nous échappent Et un détail qui n’en est finalement pas vraiment un : Les nouveaux objets d’accès aux ressources sont fondamentalement différents des anciens "PC" ● ● ● ● De plus en plus mobiles De moins en moins ouverts De plus en plus propriétaires et spécifiques De moins en moins "hackables" (bidouillables) Le PC cède la place aux : Terminaux de Consommation de Loisirs Numériques
Le bon sens, entre prudence et paranoïa Le Cloud n’est pas en lui même bon ou mauvais ... ... mais on peut en faire un bon ou un mauvais usage Il faut développer de nouveaux réflexes : ● Bien juger du caractère privé de ses informations ● Savoir protéger celles qui doivent rester secrètes ● Développer une saine méfiance vis à vis des services "gratuits", "fait pour vous" ou "pour votre bien" ● Comprendre les modèles économique de ces sociétés ● Ne rien considérer comme inévitable et savoir dire non ● Ré-évaluer régulièrement la maîtrise qu’on a de ses outils et bien mesurer sa propre dépendance vis à vis d’eux
Florilège d'outils de protection Quelques solutions de sauvegardes locales Par fichiers : Cobian Backup, Toucan ● BackUpPC, Unison, Arena BackUp, Fullsync Par Images disques : ● ● ● ● DriveImageXML, Norton Ghost, Acronis CloneZilla, outils Gnu/Linux (Partclone, etc.) Nouva Linux BackUp & Rescue
Florilège d'outils de protection Sauvegardes de type "Cloud " Les services peuvent être spécialisés : ● Pour les photos (Flickr, Picasa, Photobucket, ...) ● Pour la musique (Soundcloud, MP3tunes, ...) ● Pour les documents (ZoHo, Adobe Buzzword, ...) ... ou généralistes : Google Drive MS SkyDrive DropBox Ubuntu One etc...
Florilège d'outils de protection Caractéristiques importantes d'un Cloud : ● Synchronisation en arrière plan sur plusieurs appareils ● Limitation en volume et transfert (et tarification) ● Liste des systèmes et appareils supportés ● Services de diffusion audio et vidéo (streaming) Et les caractéristiques les plus importantes : ● Localisation des données (régime juridique du pays) ● Politique de confidentialité de l’opérateur du Cloud ● Modèle économique de la gratuité apparente
Florilège d'outils de protection À malin, malin et demi : le chiffrement du contenu Le principe : ● Créer une copie chiffrée d’un répertoire sur le disque ● Synchroniser cette copie chiffrée avec le Cloud Toto Tata Titi Chiffrer Déchiffrer A&t : $ènM 5Ff) Cryptkeeper (Linux) AxCrypt (Windows) A&t : $ènM 5Ff)
Gestion des clés de protection Pour ouvrir sa session (et déchiffrer son /home) ● Un mot de passe court suffit, ● Il faut le changer régulièrement Pour protéger son trousseau de clé ● Préférer une "phrase de passe" (passphrase) Pour se connecter sur un site/service (en https) ● Mots de passe complexes générés aléatoirement ● Ne jamais utiliser deux fois le même ● Les conserver dans son trousseau de clé
Gestion des clés de protection Trucs et astuces de création de mots de passe ● Ceux qui doivent être frappé souvent ● ● Ceux qui ouvrent des coffres ou des trousseaux ● ● Une dizaine de caractères variés, qu’il faut mémoriser et apprendre à taper rapidement et sans erreurs, ex : qf33&45bn (attention au social engineering) Phrase longue, citation, suite de mots sans sens, ex : CarotteChevalBureauOctobreVieux, Ceux qui vont être mémorisés et gérés par le PC ● Au moins 16 caractères générés aléatoirement, ex : 6"}>[Nz4,f69?-0x (à stocker dans Firefox ou le trousseau) Voir des sites comme strongpasswordgenerator.com
Gestion des clés de protection Gestion des mots de passe et clés de chiffrement ● Règles d’hygiène sécuritaire ● Savoir créer un mot de passe fort et fiable ● Ne pas utiliser deux fois le même mot de passe ! ● Se faire aider par la machine pour gérer tout ça ! Le principe des poupées russes :
La protection induit-elle la sécurité ? Comparons : PC sous Windows PC sous Linux + LL ● Antivirus ● Inutile ● Anti-Trojan ● Inutile ● Parefeu ● Intégré ● Anti Backdoor ● Inutile Trop d'insécurité --> méfiance nécessaire et plus de protections Plus de sécurité --> plus de confiance et moins de protection Et ceci n'est (quasiment) pas une caricature
Sécurité et Informatique C'est le moment des Questions / Réponses Merci de votre attention ...

Recomendados

Blog ou réseaux sociaux; quelle présence sur le web ?
Blog ou réseaux sociaux; quelle présence sur le web ?Blog ou réseaux sociaux; quelle présence sur le web ?
Blog ou réseaux sociaux; quelle présence sur le web ?Christophe Catarina
 
La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016Olivier DUPONT
 
Bermea : N’attendez pas de voir vos données disparaître : sauvegardez-les !
Bermea : N’attendez pas de voir vos données disparaître : sauvegardez-les ! Bermea : N’attendez pas de voir vos données disparaître : sauvegardez-les !
Bermea : N’attendez pas de voir vos données disparaître : sauvegardez-les ! Michel Sallaberry
 
Focus sur la sécurité des clés USB (Bureaux portables)
Focus sur la sécurité des clés USB (Bureaux portables)Focus sur la sécurité des clés USB (Bureaux portables)
Focus sur la sécurité des clés USB (Bureaux portables)URFIST de Paris
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiquemourad50
 
Authentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendancesAuthentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendancesSylvain Maret
 
Firefox extensions vpdf
Firefox extensions vpdfFirefox extensions vpdf
Firefox extensions vpdfChristophe Catarina
 
Données en ligne
Données en ligneDonnées en ligne
Données en ligneChristophe Catarina
 

Recomendados

Blog ou réseaux sociaux; quelle présence sur le web ?
Blog ou réseaux sociaux; quelle présence sur le web ?Blog ou réseaux sociaux; quelle présence sur le web ?
Blog ou réseaux sociaux; quelle présence sur le web ?Christophe Catarina
 
La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016Olivier DUPONT
 
Bermea : N’attendez pas de voir vos données disparaître : sauvegardez-les !
Bermea : N’attendez pas de voir vos données disparaître : sauvegardez-les ! Bermea : N’attendez pas de voir vos données disparaître : sauvegardez-les !
Bermea : N’attendez pas de voir vos données disparaître : sauvegardez-les ! Michel Sallaberry
 
Focus sur la sécurité des clés USB (Bureaux portables)
Focus sur la sécurité des clés USB (Bureaux portables)Focus sur la sécurité des clés USB (Bureaux portables)
Focus sur la sécurité des clés USB (Bureaux portables)URFIST de Paris
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiquemourad50
 
Authentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendancesAuthentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendancesSylvain Maret
 
Firefox extensions vpdf
Firefox extensions vpdfFirefox extensions vpdf
Firefox extensions vpdfChristophe Catarina
 
Données en ligne
Données en ligneDonnées en ligne
Données en ligneChristophe Catarina
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdfssuserdd27481
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pAbdellah Alahyane
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pJean AMANI
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pAbdellah Alahyane
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pAAMOUMHicham
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeInterface ULg, LIEGE science park
 
Excellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignementsExcellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignementsANSItunCERT
 
Competitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCompetitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCOMPETITIC
 
anssi-guide-tpe_pme.pdf
anssi-guide-tpe_pme.pdfanssi-guide-tpe_pme.pdf
anssi-guide-tpe_pme.pdfrodolphe gilbert-collet
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Microsoft
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...ASIP Santé
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfAmineelbouabidi
 
Cybercrime Update : sensibilisation
Cybercrime Update : sensibilisationCybercrime Update : sensibilisation
Cybercrime Update : sensibilisationPittet Sébastien
 
Symposium privacy by design
Symposium privacy by designSymposium privacy by design
Symposium privacy by designVersusmind
 
"Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité "Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité Geeks Anonymes
 
Kit_Commerce_Cyber_Juin2023 (1).pdf
Kit_Commerce_Cyber_Juin2023 (1).pdfKit_Commerce_Cyber_Juin2023 (1).pdf
Kit_Commerce_Cyber_Juin2023 (1).pdfEuklesSolutions
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeGeeks Anonymes
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesChristophe Elut
 

Más contenido relacionado

Similar a Sécurité des données

1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pJean AMANI
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pAAMOUMHicham
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 
Excellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignementsExcellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignementsANSItunCERT
 
Competitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCompetitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCOMPETITIC
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Microsoft
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...ASIP Santé
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfAmineelbouabidi
 
Cybercrime Update : sensibilisation
Cybercrime Update : sensibilisationCybercrime Update : sensibilisation
Cybercrime Update : sensibilisationPittet Sébastien
 
Symposium privacy by design
Symposium privacy by designSymposium privacy by design
Symposium privacy by designVersusmind
 
"Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité "Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité Geeks Anonymes
 
Kit_Commerce_Cyber_Juin2023 (1).pdf
Kit_Commerce_Cyber_Juin2023 (1).pdfKit_Commerce_Cyber_Juin2023 (1).pdf
Kit_Commerce_Cyber_Juin2023 (1).pdfEuklesSolutions
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeGeeks Anonymes
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesChristophe Elut
 

Similar a Sécurité des données (20)

siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipe
 
Excellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignementsExcellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignements
 
Competitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCompetitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensibles
 
anssi-guide-tpe_pme.pdf
anssi-guide-tpe_pme.pdfanssi-guide-tpe_pme.pdf
anssi-guide-tpe_pme.pdf
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
Cybercrime Update : sensibilisation
Cybercrime Update : sensibilisationCybercrime Update : sensibilisation
Cybercrime Update : sensibilisation
 
Symposium privacy by design
Symposium privacy by designSymposium privacy by design
Symposium privacy by design
 
"Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité "Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité
 
Kit_Commerce_Cyber_Juin2023 (1).pdf
Kit_Commerce_Cyber_Juin2023 (1).pdfKit_Commerce_Cyber_Juin2023 (1).pdf
Kit_Commerce_Cyber_Juin2023 (1).pdf
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipe
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
 

Sécurité des données

  • 1. Samedis du Libre Sécurité et Informatique à MERIGNAC Médiathèque Municipale Mérignac le 16-11-2013 avec l'ABUL
  • 2. Sécurité et Informatique ● L'insécurité : une réalité aux multiples facettes ● ● Définitions et rappels sur les risques Quelles protections, pour quels risques ? ● ● ● Mesures adaptées aux risques supports Mesures adaptées aux risques essentiels Ces données qui nous échappent ● La multiplication des objets numériques ● Le bon sens, entre prudence et paranoïa ● Florilège d'outils en lien avec la protection ● Questions / Réponses
  • 3. L'insécurité Informatique La sécurité absolue n'existe dans aucun domaine de la vie réelle. Pourquoi l'informatique ferait-elle exception ? Quel que soit le domaine, on ne parle que de : Gestion (ou réduction) des risques Mesures de protections Principe de précaution en gardant à l'esprit que la perfection n'existe pas, et qu'il faut toujours envisager les conséquences d'un événement redouté avant qu'il ne survienne.
  • 4. Rappels sur les risques Les données numériques sont immatérielles, pour les manipuler, on les met sur un support. ● Il existe donc deux types de risques très différents : ● ● Les risques essentiels : Ce sont les risques que courent les données quel que soit le support sur lequel elles se trouvent. Les risques supports : Ce sont les risques que la nature même du support fait courir aux données qu'il contient.
  • 5. Rappels sur les risques ● Les risques essentiels : ● ● La divulgation : Une information peut être portée à la connaissance d'un public qui n'avait pas à la connaître. Confidentialité L'altération (ou la dégradation) : Lorsqu'on la récupère, une partie de l'information n'est plus la même qu'au moment de son stockage. Intégrité
  • 6. Rappels sur les risques ● Les risques essentiels (suite) : ● ● La disparition : La donnée ne peut pas être récupérée au moment et à l'endroit où vous souhaitez le faire. Disponibilité La suspicion (force de preuve) : Il n'existe pas de moyen pour démontrer qu'une information est bien celle qu'elle prétend être. Auditabilité
  • 7. Rappels sur les risques ● Les risques supports : puisqu'il parait qu'une image vaut mille mots ...
  • 8. Rappels sur les risques ● Face à un risque donné, chaque support sera plus ou moins sensible ... Risque Support
  • 9. Quelles protections, pour quels risques ● Évaluation des risques : approche par les Menaces Exemples de menaces : ● ● ● ● ● Une erreur, action non réfléchie d'un utilisateur insouciant ou peu attentif. La malveillance humaine, une personne agit à votre insu pour vous causer volontairement du tort. Un programme malveillant (malware), logiciel conçu spécialement à des fins illicites. Une panne, les matériels électroniques ont une durée de vie limitée. Un sinistre, vol, incendie, dégât des eaux, panne irrémédiable, etc.
  • 10. Quelles protections, pour quels risques ● Évaluation des risques : approche par les Menaces Il faut imaginer les événements redoutés en terme de scénarios de menaces, et pour chacune, évaluer : ● ● sa probabilité (Potentialité) qui influe sur la fréquence des mesures de protection, son impact (Gravité) qui influe sur l'importance accordée aux mesures de protection
  • 11. Quelles protections, pour quels risques On obtient au final un tableau qui indique : ● ● quoi faire pour se protéger des menaces dont on veux se protéger, quand le faire pour que ce soit suffisamment efficace sans être trop coûteux. L'étape suivante consiste à déterminer les moyens à mettre en œuvre pour obtenir un niveau de protection choisi avec pragmatisme.
  • 12. Mesures adaptées aux risques supports Les risques supports les plus courants : ● Panne matérielle entraînant la perte des informations ● Destruction irrémédiable d'un support (sinistre) ● Disparition du support d'informations (perte ou vol) mais aussi ... ● ● Destruction logicielle des informations (effacement par erreur ou malveillance, etc.) Perte d'accès aux informations (mot de passe perdu, ransomware, etc.)
  • 13. Mesures adaptées aux risques supports Toutes les mesures de protection sont basées sur : ● ● ● la multiplicité des exemplaires de l'information (On ne peut pas tous les perdre en même temps ...) la localisation différente des divers exemplaires (... surtout s'ils sont géographiquement dispersés ...) la nature variée des supports utilisés pour chacun (... et ne sont pas sensible aux mêmes risques.) Dit autrement : "Ne pas mettre tous ses œufs dans le même panier"
  • 14. Mesures adaptées aux risques supports Choix suivant le type d'informations : ● Informations pouvant être régénérées Système d'exploitation, applications, informations publiques, informations dupliquées Minimiser le temps de régénération ● ● Disposer d'archives et de copies à jour Informations ne pouvant pas être régénérées "Mémoire numérique" (photos, vidéos, etc.), archives documentaires (courriels), travail en cours Protéger à la hauteur de la valeur de la perte ● Multiplier les copies et varier les supports
  • 15. Mesures adaptées aux risques essentiels Les risques essentiels les plus courants : ● ● ● Divulgation d'un information personnelle ou secrète mot de passe, clé d'accès, numéro de CB, etc. Altération ou perte d'une information importante clé de licence, composant du système, etc. Installation d'un composant malintentionné virus, trojan, keylogger, autres malware Et pour se protéger, seulement deux armes : ● La prudence, jusqu'à la méfiance s'il le faut ● Le bon sens ... et quelques bons conseils
  • 16. Les données qui nous échappent ● ● ● ● Sans données en ligne (le Cloud), les risques sont majoritairement des risques supports. Le Cloud est une nouvelle solution pour palier à ces risques anciens Mais le Cloud est porteur de façon intrinsèque de risques nouveaux Les nouveaux risques sont principalement des risques essentiels
  • 17. Les données qui nous échappent Constat de ce qui se passe dans le Grand Public : ● ● ● Le glissement vers des usages Cloud est massif Pressés de toutes part, les utilisateurs confient de plus en plus de choses aux nouveaux services si pratiques. Le changement de risque n’est pas bien perçu Les risques nouveaux ne sont pas évoqués dans le discours marketing des fournisseurs de services Cloud. Les habitudes de protection ne changent pas Les utilisateurs conservent des habitudes qui sont maintenant inadaptées aux nouveaux risques.
  • 18. Les données qui nous échappent Et un détail qui n’en est finalement pas vraiment un : Les nouveaux objets d’accès aux ressources sont fondamentalement différents des anciens "PC" ● ● ● ● De plus en plus mobiles De moins en moins ouverts De plus en plus propriétaires et spécifiques De moins en moins "hackables" (bidouillables) Le PC cède la place aux : Terminaux de Consommation de Loisirs Numériques
  • 19. Le bon sens, entre prudence et paranoïa Le Cloud n’est pas en lui même bon ou mauvais ... ... mais on peut en faire un bon ou un mauvais usage Il faut développer de nouveaux réflexes : ● Bien juger du caractère privé de ses informations ● Savoir protéger celles qui doivent rester secrètes ● Développer une saine méfiance vis à vis des services "gratuits", "fait pour vous" ou "pour votre bien" ● Comprendre les modèles économique de ces sociétés ● Ne rien considérer comme inévitable et savoir dire non ● Ré-évaluer régulièrement la maîtrise qu’on a de ses outils et bien mesurer sa propre dépendance vis à vis d’eux
  • 20. Florilège d'outils de protection Quelques solutions de sauvegardes locales Par fichiers : Cobian Backup, Toucan ● BackUpPC, Unison, Arena BackUp, Fullsync Par Images disques : ● ● ● ● DriveImageXML, Norton Ghost, Acronis CloneZilla, outils Gnu/Linux (Partclone, etc.) Nouva Linux BackUp & Rescue
  • 21. Florilège d'outils de protection Sauvegardes de type "Cloud " Les services peuvent être spécialisés : ● Pour les photos (Flickr, Picasa, Photobucket, ...) ● Pour la musique (Soundcloud, MP3tunes, ...) ● Pour les documents (ZoHo, Adobe Buzzword, ...) ... ou généralistes : Google Drive MS SkyDrive DropBox Ubuntu One etc...
  • 22. Florilège d'outils de protection Caractéristiques importantes d'un Cloud : ● Synchronisation en arrière plan sur plusieurs appareils ● Limitation en volume et transfert (et tarification) ● Liste des systèmes et appareils supportés ● Services de diffusion audio et vidéo (streaming) Et les caractéristiques les plus importantes : ● Localisation des données (régime juridique du pays) ● Politique de confidentialité de l’opérateur du Cloud ● Modèle économique de la gratuité apparente
  • 23. Florilège d'outils de protection À malin, malin et demi : le chiffrement du contenu Le principe : ● Créer une copie chiffrée d’un répertoire sur le disque ● Synchroniser cette copie chiffrée avec le Cloud Toto Tata Titi Chiffrer Déchiffrer A&t : $ènM 5Ff) Cryptkeeper (Linux) AxCrypt (Windows) A&t : $ènM 5Ff)
  • 24. Gestion des clés de protection Pour ouvrir sa session (et déchiffrer son /home) ● Un mot de passe court suffit, ● Il faut le changer régulièrement Pour protéger son trousseau de clé ● Préférer une "phrase de passe" (passphrase) Pour se connecter sur un site/service (en https) ● Mots de passe complexes générés aléatoirement ● Ne jamais utiliser deux fois le même ● Les conserver dans son trousseau de clé
  • 25. Gestion des clés de protection Trucs et astuces de création de mots de passe ● Ceux qui doivent être frappé souvent ● ● Ceux qui ouvrent des coffres ou des trousseaux ● ● Une dizaine de caractères variés, qu’il faut mémoriser et apprendre à taper rapidement et sans erreurs, ex : qf33&45bn (attention au social engineering) Phrase longue, citation, suite de mots sans sens, ex : CarotteChevalBureauOctobreVieux, Ceux qui vont être mémorisés et gérés par le PC ● Au moins 16 caractères générés aléatoirement, ex : 6"}>[Nz4,f69?-0x (à stocker dans Firefox ou le trousseau) Voir des sites comme strongpasswordgenerator.com
  • 26. Gestion des clés de protection Gestion des mots de passe et clés de chiffrement ● Règles d’hygiène sécuritaire ● Savoir créer un mot de passe fort et fiable ● Ne pas utiliser deux fois le même mot de passe ! ● Se faire aider par la machine pour gérer tout ça ! Le principe des poupées russes :
  • 27. La protection induit-elle la sécurité ? Comparons : PC sous Windows PC sous Linux + LL ● Antivirus ● Inutile ● Anti-Trojan ● Inutile ● Parefeu ● Intégré ● Anti Backdoor ● Inutile Trop d'insécurité --> méfiance nécessaire et plus de protections Plus de sécurité --> plus de confiance et moins de protection Et ceci n'est (quasiment) pas une caricature
  • 28. Sécurité et Informatique C'est le moment des Questions / Réponses Merci de votre attention ...